Shockwave Player que puede permitir a atacantes remotos tomar control
total de los sistemas afectados.
El fallo anunciado se debe a un desbordamiento de pila en el instalador
ActiveX que no maneja adecuadamente valores muy largos pasados a
ciertos parámetros. Esto puede permitir a atacantes remotos ejecutar
código arbitrario si inducen a usuarios a visitar páginas especialmente
manipuladas que contengan contenido Showkwave y pregunten al
usuario si quiere instalarlo.
Se recomienda instalar el plugin desde la página oficial. Los usuarios
que ya lo tengan instalado no necesitan realizar ninguna acción al
respecto.
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Más información:
APSB06-02 Improper Memory Access Vulnerability in Shockwave Player
ActiveX installer
http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html
Adobe Macromedia ShockWave Code Execution
http://www.zerodayinitiative.com/advisories/ZDI-06-002.html
0 comentarios:
Publicar un comentario en la entrada